Op weg naar SAS 70
J.de Wagt Studentnummer: 1230794
Groningen 24 oktober 2005
Rijksuniversiteit Groningen Faculteit bedrijfskunde
Accountancy
Eerste begeleider: Prof. Drs. A. te Bos RA
Tweede begeleider: Prof. Dr. Ir. J.L. Simons
Interne begeleider: Drs. M.J.M. Bijsmans RE
Voorwoord
Voor u ligt het eindverslag van mijn afstudeeronderzoek uitgevoerd bij Achmea Pensioenen in Leeuwarden. Met dit onderzoek wordt de opleiding Bedrijfswetenschappen aan de Rijksuniversiteit Groningen afgesloten.
Tijdens het maken van dit afstudeerverslag hebben een aantal mensen mij hierbij geholpen. Ik wil graag de heer Te Bos bedanken voor zijn begeleiding tijdens het gehele afstudeertraject. Tevens wil ik de heer Simons bedanken voor zijn ondersteunende rol als tweede begeleider.
Daarnaast wil ik de heer Bijsmans bedanken voor zijn rol als interne begeleider bij Achmea Pensioenen, zonder zijn commentaar zou dit verslag niet zo compleet zijn geweest als het nu is.
Graag zou ik ook nog alle medewerkers van de afdeling O&A en de leden van de projectgroep SAS 70 willen bedanken. Zij hebben ervoor gezorgd dat het afstuderen zowel een leerzame als leuke tijd is geweest.
Als laatste wil ik graag mijn familie en vriend bedanken voor hun morele steun en motiverende rol tijdens mijn studie en de afstudeerperiode.
Dit eindverslag is bestemd voor de directeur van de PV Operations van Achmea Pensioenen en het management van de afdeling Offerte en Acceptatie. De scriptie geeft aan waar verbeteringen kunnen worden toegepast om zo tot en betere beheersing van interne processen te komen.
Groningen, 24 oktober 2005
Janneke de Wagt
Samenvatting
Dit afstudeeronderzoek is uitgevoerd bij Achmea Pensioenen als onderdeel van de studie bedrijfswetenschappen aan de Rijksuniversiteit Groningen. Achmea Pensioenen is onderdeel van Achmea Holding N.V.
In het eerste hoofdstuk wordt een beschrijving van de organisatie Achmea gegeven. Eerst wordt een algemene beschrijving van Achmea Holding N.V. gegeven. Vervolgens wordt dieper
ingegaan op Achmea pensioenen en dan specifiek op de afdeling Offerte en Acceptatie. Deze afdeling vormt de mid-office van de business unit pensioenen. Hier worden offertes opgesteld en klanten geaccepteerd.
In hoofdstuk 2 wordt de onderzoeksopzet behandeld. Het onderwerp van het onderzoek is de verkrijging van een SAS 70 certificering. Dit is het uitgangspunt voor de doelstelling en de vraagstelling van het onderzoek.
De doelstelling van het onderzoek is:
Een voorstel te doen over hoe de inrichting van de interne processen op de afdeling O&A verbeterd zou kunnen worden en welke rol het controle bewustzijn van de medewerkers hierin kan spelen voor het verkrijgen van de SAS 70 certificering.
De vraagstelling van het onderzoek is:
Hoe kunnen de interne processen op de afdeling O&A het best ingericht worden om te voldoen aan de SAS 70 standaarden?
Op basis van de doelstelling en de vraagstelling is het conceptueel model opgesteld. In het conceptueel model wordt duidelijk naar welke concepten in het onderzoek wordt gekeken. Er wordt onderzoek gedaan naar de huidige situatie op de afdeling O&A, de theorie die bij SAS 70 hoort en de huidige Nederlandse Wetgeving. Daarna wordt de gewenste situatie beschreven.
Hierbij wordt een verschillenanalyse opgesteld om zo een verbeteringsvoorstel te doen. Aan de hand van het conceptueel model zijn de volgende deelvragen opgesteld.
Deelvragen:
Beschrijvend
1. Wat wordt onder SAS 70 verstaan?
2. Wat is de huidige wetgeving in Nederland voor serviceorganisaties?
3. Hoe zijn de interne processen momenteel ingericht?
Analyserend
4. Hoe zou de gewenste situatie eruit moeten zien om te kunnen voldoen aan SAS 70?
5. Welke verschillen bestaan er tussen de huidige situatie en de gewenste situatie?
Adviserend
6. Welke verbeteringen kunnen worden aangedragen?
Elke deelvraag wordt in een apart hoofdstuk behandeld.
In hoofdstuk 3 worden de theorieën die voor het onderzoek worden gebruikt besproken. Met
name de theorie rondom het concept van COSO wordt hier uitgebreid behandeld. Voor de
beschrijvingen van de huidige situatie en de gewenste situatie zal gebruik worden gemaakt van de
componenten van COSO.
Voor de meer IT gerichte controls wordt gebruik gemaakt de Code voor Informatiebeveiliging.
Deze theorie wordt ook in dit hoofdstuk besproken. Daarnaast worden meer algemene theorieën besproken zoals de theorie over interne controle, het DOV model en de Code Tabaksblad.
In hoofdstuk 4 wordt de theorie van SAS 70 besproken. SAS 70 is een toetsingsmiddel afkomstig uit Amerika en ontwikkelt door het American Institute of Certified Public Accountants(AICPA).
SAS 70 staat voor Statement on Auditing Standard number 70, een statement voor de
certificering van de interne beheersing van de processen in dienstverlenende organisaties. SAS 70 bestaat uit een type l en een type ll verklaring. Bij de type l verklaring verklaart de externe
accountant dat de beheersmaatregelen in opzet toereikend zijn om de geformuleerde
beheersdoelstellingen daadwerkelijk te bereiken. Bij de type ll verklaring verklaart de externe accountant dat de maatregelen niet alleen op zekere datum van kracht waren, maar ook feitelijk gedurende de controleperiode van minimaal een half jaar hebben gewerkt.
In hoofdstuk 5 wordt naar de huidige regel- en wetgeving in Nederland gekeken. Met name de richtlijn voor de accountantscontrole 402 wordt hier besproken.
In hoofdstuk 6 staat de beschrijving van de huidige situatie centraal. Alle processen die
plaatsvinden binnen de afdeling O&A, zijn in dit hoofdstuk beschreven. COSO en de Code voor Informatiebeveiliging worden hierbij gebruikt. Aan de hand van de verschillende componenten van deze theorieën is de huidige situatie beschreven.
In hoofdstuk 7 is de gewenste situatie beschreven. Alle processen en alle beheersmaatregelen die aanwezig zouden moeten zijn bij een goed interne controle systeem zijn hier beschreven. Dit is net als in het voorgaande hoofdstuk gebeurt met behulp van de componenten van COSO en de Code voor Informatiebeveiliging.
In hoofdstuk 8 wordt een analyse van de verschillen tussen de huidige situatie en de gewenste situatie gegeven. Hier is weer uitgegaan van COSO en de Code voor Informatiebeveiliging. De belangrijkste verschillen zitten
In hoofdstuk 9 worden aanbevelingen gegeven voor verbeteringen van het interne controle systeem. Er is hier sprake van strategische en operationele aanbevelingen. De strategische aanbevelingen zijn bedoeld voor de directie van Achmea Pensioenen, de operationele
aanbevelingen zijn bedoeld voor het management van O&A. Met deze aanbevelingen wordt een
antwoord gegeven op de vraagstelling van het onderzoek. De aanbevelingen worden hier kort
genoemd.
Inhoudsopgave
VOORWOORD ...2
SAMENVATTING ...3
INHOUDSOPGAVE...5
HOOFDSTUK 1 INLEIDING ...7
1.1INLEIDING...7
1.2ACHMEA HOLDING N.V...7
1.3ACHMEA PENSIOENEN (AP)...8
1.3.1 De afdeling Offerte & Acceptatie( O&A) ...9
1.4SAS70...10
1.5PROJECTORGANISATIE...11
HOOFDSTUK 2 ONDERZOEKSOPZET ...12
2.1INLEIDING PROBLEEMSTELLING...12
2.1.1 De probleemstelling ...12
2.1.2 De doelstelling...12
2.1.3 De vraagstelling...13
2.1.4 Afbakening onderzoeksgebied...13
2.2RANDVOORWAARDEN...13
2.3CONCEPTUEEL MODEL...13
2.4DEELVRAGEN...15
2.5METHODEN...16
2.5.1 Typering van het onderzoek ...16
2.5.2 Onderzoeksmethoden...16
HOOFDSTUK 3 THEORETISCH KADER ...17
3.1INLEIDING...17
3.2HET DOV MODEL...18
3.3INTERNE CONTROLE...18
3.4CODE VOOR INFORMATIEBEVEILIGING...19
3.5COSO ...19
3.5CODE TABAKSBLAD...21
HOOFDSTUK 4 ANALYSE SAS 70...23
4.1INLEIDING...23
4.2SAS70...23
4.2.1 Voor- en nadelen SAS 70 ...24
4.4VERSCHILLENDE REGELGEVERS...25
4.5MATE VAN ACCEPTATIE VAN SAS70 IN EUROPA...25
HOOFDSTUK 5 RICHTLIJNEN IN NEDERLAND ...27
5.1INLEIDING...27
5.2RAC402...27
5.3SAS70 EN RAC402 ...28
5.4AUTOMATISERING...28
HOOFDSTUK 6 PROCESBESCHRIJVINGEN...30
6.1INLEIDING...30
6.2WERKWIJZE...30
6.3BESCHRIJVEN VAN HET VERANTWOORDELIJKHEIDSGEBIED...30
6.4BESCHRIJVEN VAN PROCESSEN...31
6.5BESCHRIJVEN GENERAL IT CONTROLS...31
HOOFDSTUK 7 GEWENSTE SITUATIE ...33
7.1INLEIDING...33
7.2EISEN VAN SAS70 ...33
7.3DE GEWENSTE SITUATIE VANUIT COSO ...33
7.4BESCHRIJVING GEWENSTE GENERAL IT CONTROLS...33
HOOFDSTUK 8 ANALYSE VAN DE VERSCHILLEN ...35
8.1DE VERSCHILLEN VANUIT COSO...35
8.2DE VERSCHILLEN VANUIT DE CODE VOOR INFORMATIEBEVEILIGING...35
HOOFDSTUK 9 AANBEVELINGEN ...36
9.1ALGEMEEN...36
LITERATUURLIJST ...38
AFKORTINGENLIJST ...39
Hoofdstuk 1 Inleiding
1.1 Inleiding
In dit hoofdstuk zal de organisatie Achmea worden beschreven, de organisatie waar het afstudeeronderzoek wordt uitgevoerd. Allereerst zal er een algemene beschrijving van Achmea Holding N.V. worden gegeven, daarna zal meer specifiek ingegaan worden op de business unit Achmea Pensioenen en het afstudeeronderzoek.
1.2 Achmea Holding N.V.
Achmea is een financiële dienstverlener en maakt deel uit van Eureko B.V..Een Financiële dienstverlener met ondernemingen in 10 Europese landen. In totaal werken er ongeveer 13.500 mensen bij Achmea. Achmea biedt haar klanten een breed pakket van diensten aan, zoals verzekeringen, bancaire en hypothecaire producten, Arbo-diensten, hulpverlening in binnen- en buitenland, reïntegratiediensten en pensioenadministraties.
De activiteiten van Achmea zijn onderverdeeld in acht business units en een aantal kleinere bedrijfsonderdelen. Een overzicht van de verschillende business units wordt weergegeven in het volgende organogram ( zie figuur 1).
figuur 1: organogram Achmea Holding N.V.
Al deze business units hebben hun eigen kernactiviteiten en opereren onder merknamen als:
Centraal Beheer Achmea, Zilveren Kruis Achmea, FBTO, Staal Bankiers.
De stafafdeling services holding bestaat uit:
o Facilitair bedrijf o Human resources o Active
o Audit &Risk
Intermediair
Overig Achmea
Bedrijven Achmea
Particulieren
Achmea Pensioenen Achmea
zorg Achmea
Sociale zekerheid
Achmea Corpoarte Accounts Achmea
Bank Services
Holding
Staven Holding Achmea
Holding
N.V. Achmea
Accounting House
Achmea Accounting house zorgt voor financiële en actuariële verslaggeving, cost accounting, cash- en credit management en informatievoorziening. Dit is onlangs ondergebracht in een shared service centre. Een stafdienst die door elke afdeling wordt gebruikt.
Eureko B.V. houdt 91,2 % van de aandelen in Achmea Holding N.V.. Eureko B.V. is net als Achmea Holding N.V. een financiële dienstverlener, met als voornaamste activiteiten
verzekeringen en vermogensbeheer. Het vermogensbeheer en het beleggingsbeleid wordt door Achmea uitbesteed aan Achmea Vastgoed en F&C Asset management. Deze twee vallen onder Eureko. Deze laatste is een dochteronderneming van Eureko. Er is voor deze vorm gekozen omdat deze organisaties over specialistische kennis beschikken. Achmea hoeft zich op deze manier alleen met haar core-business bezig te houden.
Eureko heeft inmiddels een intentieverklaring getekend om een samenwerkingsverband aan te gaan met de Rabobank
1.3 Achmea Pensioenen (AP)
De business unit AP bestaat uit Avéro Achmea, Centraal Beheer Achmea en PVF Achmea. Zij houden zich bezig met het verzekeren van collectieve en individuele aanvullende pensioenen.
Onder klanten van AP worden zowel particulieren als bedrijven verstaan. AP telt 3 locaties, Leeuwarden, Apeldoorn en Amsterdam met in totaal ongeveer 1285 medewerkers in vaste of tijdelijke dienst. AP vormt een bedrijf dat 12 procent van het marktaandeel bezet als verzekeraar van collectieve en aanvullende pensioenen. Tevens is AP de grootste Nederlandse externe dienstverlener van pensioen-, prépensioen- en VUT-fondsen. In totaal worden er zo'n 1,5
miljoen werknemers door AP geadministreerd. Het onderzoek vindt plaats bij AP in Leeuwarden en Apeldoorn waar Avéro Achmea en Centraal Beheer Achmea als merknamen worden gevoerd.
Als in het verdere onderzoek wordt gesproken over Achmea Pensioenen worden Avéro Achmea en Centraal Beheer Achmea bedoeld. AP is een zelfstandige juridische eenheid onder Achmea holding en is als volgt georganiseerd:
figuur 2: organogram Achmea pensioenen
Directievoorzitter
Directeur Operations Bpf Directeur Sales & Marketing Directeur Operations PV Directeur Finance
Bpf’n Operationeel
Informatie- management Kenniscentrum
Bedrijfsbureau
Bpf’n Sales Actuariaat Planning &
Control PV Offerte &
Acceptatie PV Operationeel
Sales&Marketing
De business unit pensioenen is onderverdeeld in 4 service units:
• Operations BPF, deze unit houdt zich bezig met bedrijfspensioenfondsen
• Sales en Marketing zijn verantwoordelijk voor de verkoop van de pensioenen, zij vormen de front-office.
• Operations PV bestaat uit de backoffice en de mid-office. Voor pensioenverzekeringen is dit verdeeld over twee afdelingen. PV operationeel als de backoffice, PV Offerte &
Acceptatie als de mid-office
• Finance.
Het onderzoek heeft betrekking op de afdeling Offerte en Acceptatie, de mid-office van de unit Operations PV.
figuur 3: organogram afdeling offerte en acceptatie
1.3.1 De afdeling Offerte & Acceptatie( O&A)
De afdeling waar het onderzoek betrekking op heeft is de afdeling O&A. Op deze afdeling worden offertes voor nieuwe en bestaande klanten gemaakt. Tevens worden klanten
geaccepteerd, geadministreerd en worden reglementen en overeenkomsten opgesteld. O&A moet gezien worden als de mid-office, de backoffice wordt verzorgd door de afdelingen klantcluster en diensten. Dit houdt voor O&A in dat er geen direct contact met de klant is, maar met de
accountmanagers.
Offreren
De aanvraag voor een offerte komt via de afdeling Verkoop binnen. Aan de hand van de
aangeleverde klantgegevens door de accountmanager wordt een offerte opgesteld. Dit kan zowel voor nieuwe klanten als voor bestaande klanten. Het opstellen van de offerte gebeurt met behulp van meerdere door Achmea ontwikkelde geautomatiseerde systemen. De accountmanager stuurt de offerte vervolgens naar de klant. De afdeling O&A is verantwoordelijk voor het juist, volledig en tijdig opstellen en verwerken van de offertes.
ABU Directie Wim Hoek
Offertegroep Grootmarkt Tom Zegers Offertegroep Rente
Ronald Wilts Offertegroep UL
Tom Zegers
Management Marc Bijsmans
Ontvangen offerteaanvraag
Opstellen offerte Uitsturen brief
Accepteren
Wanneer de klant akkoord gaat met de concept offerte, stuurt de klant de offerte ondertekend weer terug. De offerte komt dan weer op de afdeling O&A. De offerte wordt hier geaccepteerd.
Dit houdt in dat de regelinggegevens in het administratiesysteem worden gezet. De deelnemers worden definitief onder de regeling gehangen. De juridische medewerkers stellen vervolgens een reglement en overeenkomst op die in overeenstemming is met de opgestelde offerte. De klant is dan definitief geaccepteerd en ingeschreven in de administratie van Achmea. De afdeling O&A draagt de klant vervolgens over aan het klantencluster, die het verdere contact met de klant onderhoudt.
De afdeling is ingericht door middel van de verdeling in klantgroepen. Er is een onderverdeling tussen:
• Intermediair klanten, dit zijn aanvragen van tussenpersonen.
• Grootmarkt klanten, dit zijn klanten van groot formaat.
• Acquisitie, dit betreft nieuwe klanten.
• Noord en Zuid, dit betreft middel grote bestaande klanten onderverdeeld naar regio noord of zuid.
1.4 SAS 70
De aanleiding van het onderzoek is dat Achmea een kwaliteitskeurmerk voor haar interne processen wil verkrijgen. Achmea heeft voor het kwaliteitsmerk SAS 70 gekozen omdat dit een kwaliteitsmerk is dat speciaal is ontworpen voor organisaties die diensten uitvoeren voor andere organisaties. Achmea is een organisatie die een dienst uitvoert voor een andere organisatie.
Daarnaast heeft Achmea nog twee redenen om voor SAS 70 te kiezen. Ten eerste vanwege het internationale karakter van SAS 70. Voor klanten van Achmea die verbonden zijn met bedrijven uit Amerika is de SAS 70 verklaring van Achmea een eis die gesteld wordt. Ten tweede is SAS 70 gericht op interne controle. Achmea wil door het verbeteren van de kwaliteit van de interne processen concurrentievoordeel ten opzichte van andere pensioenuitvoerders behalen. Een verdere uitleg over SAS 70 wordt in hoofdstuk 4 gegeven.
Ontvangen opdrachtformulier
Opvoeren van de regeling
Versturen service map
1.5 Projectorganisatie
Binnen Achmea is een project voor het verkrijgen van de SAS 70 certificering opgestart. De organisatie voor het project ziet er als volgt uit:
figuur 4: organogram projectorganisatie
De projectleider stuurt de verschillende werkgroepen aan en is verantwoordelijk voor de coördinatie van het project. De werkgroepen zijn verantwoordelijk voor de planning van de activiteiten en de bewaking van de voorgang in de werkgroep. Er is voor de verdeling in vijf werkgroepen gekozen omdat zo alle onderdelen van AP geraakt worden.
Stuurgroep
Projectleider
Projectsecretaris Projectondersteuning
Communicatie
Werkgroep AP brede processen
Opleidingen
Werkgroep Leeuwarden
Werkgroep Apeldoorn
Werkgroep Accounting house
Werkgroep Life en pensions
Deskundigen Deskundigen Deskundigen Deskundigen Deskundigen
Hoofdstuk 2 Onderzoeksopzet
In dit hoofdstuk zal de opzet van het onderzoek nader uitgelegd worden. Dit wordt gedaan aan de hand van de volgende onderdelen: de probleemstelling, de randvoorwaarden, het conceptueel model, de deelvragen, de methoden en de typering van het onderzoek.
2.1 Inleiding probleemstelling
De aandacht voor interne beheersing neemt steeds meer toe, enerzijds door de bedrijven zelf, anderzijds door de klant. Het wordt steeds belangrijker om aan de buitenwereld te kunnen aantonen dat alle interne processen `in control` zijn. Bij Achmea bestaat de klantenkring uit bedrijven die een collectief of individueel aanvullend pensioen voor hun werknemers hebben afgesloten. Het is voor de klanten van Achmea belangrijk dat de diensten die zij afnemen van Achmea goed worden uitgevoerd en dan in het bijzonder de interne controle op deze processen.
Voor de klant brengt dit kosten met zich mee. De accountant van de klant wil zekerheid over de diensten die worden geleverd door Achmea. Zij zal een verklaring van de accountant van
Achmea willen dat de diensten die Achmea uitvoert in control zijn.
Tevens worden er vanuit de richtlijnen voor de accountantscontrole eisen aan de controle van uitbestede processen gesteld. Achmea heeft zichzelf de vraag gesteld hoe ze deze externe partijen de beste zekerheid kan geven over de beheersing en beveiliging van de aan hen uitbestede
diensten. Achmea wil daarom een SAS 70 certificering van haar accountant verkrijgen zodat zij de klant hiermee zekerheid kan geven over haar interne processen. Vanuit dit uitgangspunt is de probleemstelling geformuleerd.
2.1.1 De probleemstelling
De probleemstelling is de centrale vraag waarop de tekst antwoord geeft.
De probleemstelling bestaat uit de doelstelling en de daaruit voortvloeiende vraagstelling. Er is hier sprake van een`dubbele`vraagstelling. Het eerste gedeelte van de vraagstelling zal
beschrijvend zijn en het tweede gedeelte van de vraagstelling is op analyse gericht.
1Tevens is er vanuit Achmea een doelstelling gedefinieerd voor het SAS 70 project, deze wordt naast de doelstelling van het onderzoek gegeven.
2.1.2 De doelstelling
De doelstelling geeft het doel van het onderzoek aan, voor wie het onderzoek wordt gedaan en waar verbeteringsvoorstellen voor worden gedaan.
De doelstelling van het onderzoek is:
Een voorstel te doen over hoe de inrichting van de interne processen op de afdeling O&A verbeterd zou kunnen worden en welke rol het controle bewustzijn van de medewerkers hierin kan spelen voor het verkrijgen van de SAS 70 certificering.
Tevens kan de doelstelling voor Achmea Pensioenen voor het behalen van de SAS 70 certificering gegeven worden:
Door middel van het verbeteren van de kwaliteit van de interne processen concurrentievoordeel te behalen ten opzichte van andere pensioenuitvoerders.
1
Haag en Dirven, 1999:33
2.1.3 De vraagstelling
De vraagstelling wordt vanuit de doelstelling van het onderzoek geformuleerd. Het betreft de centrale vraag waar de tekst antwoord op moet geven.
2De vraagstelling voor het onderzoek is:
Hoe kunnen de interne processen op de afdeling O&A het best ingericht worden om te voldoen aan de SAS 70 standaarden?
2.1.4 Afbakening onderzoeksgebied
Achmea wil de SAS 70 verklaring verkrijgen voor alle service units en de shared service centres die onder de business unit AP vallen. Dit geldt zowel voor de front-office als voor de back-office.
Het gaat om alle interne processen om op die manier voldoende zekerheid aan de klant te kunnen geven. In verband met de tijdsduur en de omvang van het onderzoek is er voor gekozen om het onderzoek alleen betrekking te laten hebben op de afdeling O&A. Het onderzoek is gericht op de procesbeschrijvingen en formuleren van de beheersingsdoelstellingen van de processen van de afdeling O&A in Leeuwarden en Apeldoorn.
Tevens zal er naast SAS 70 naar de Richtlijn voor de accountantscontrole 402 gekeken worden.
Als antwoord op de vraagsteling zal een voorstel worden gedaan over de inrichting van de interne processen. Het daadwerkelijke veranderingstraject valt buiten de scope van het onderzoek.
2.2 Randvoorwaarden
De randvoorwaarden geven de eisen aan waaraan het onderzoek moet voldoen. Er zijn in dit geval zowel randvoorwaarden vanuit de universiteit als vanuit Achmea Pensioenen.
Voor dit onderzoek gelden de volgende randvoorwaarden:
• Het verslag moet voldoen aan de eisen die gesteld worden vanuit de faculteit bedrijfskunde aan de Rijksuniversiteit Groningen.
• De duur van het onderzoek bedraagt zes maanden.
• Vertrouwelijke informatie mag niet gepubliceerd worden, er zullen twee verslagen worden gemaakt. Eén voor publicatie en één voor Achmea zelf.
2.3 Conceptueel model
In een conceptueel model van de organisatie wordt grafisch weergegeven hoe de verschillende begrippen onderling samengehangen.
3Een conceptueel model voor onderzoek bevat een aantal denkbeelden over het te onderzoeken probleem. Deze denkbeelden bestaan uit:
• De afbakening van onderzoekselementen; wat hoort nog wel bij het onderzoek en wat niet.
• De selectie van die eigenschappen (= variabelen) van die elementen
• Het duidelijk maken van de relaties tussen de verschillende variabelen De afbakening van de onderzoekselementen
Dit geeft aan wat nog wel en wat niet tot het onderzoek behoort. Het onderzoek heeft niet betrekking op alle afdelingen van Achmea Pensioenen.
2
Haag en Dirven, 1999:34
3
Baarda en de Goede, 2000:42
Het onderzoek richt zich op de afdeling offerte en acceptatie. Dit valt onder de business unit PV Operations. Binnen deze afdeling zal gekeken worden naar de interne processen die hier
plaatsvinden.
De variabelen
De variabelen die belangrijk zijn in het onderzoek, is het proces op de afdeling O&A zelf, de administratieve organisatie en de beheersing en sturing van processen.
figuur 5: Conceptueel model
Aan de linkerkant van het conceptueel model staan de huidige situatie en de gewenste situatie. De ist en de soll positie zullen hier beschreven worden. Hier zal worden gekeken naar de
administratieve organisatie, de automatisering en het controle bewustzijn van de medewerkers.
Dit betreft de diagnose fase uit het DOV-model(toegelicht in § 3.2). Nadat beide situaties duidelijk in kaart zijn gebracht, zal er een analyse van de verschillen tussen de twee situaties gegeven worden. Hier zullen voorstellen tot verbeteringen uit voort vloeien. Dit betreft de
ontwerp fase van het DOV model. Het veranderingstraject van het DOV model wordt buiten het conceptueel model gelaten. Dit wordt aan het management overgelaten. Er zullen wel
aanbevelingen worden gedaan maar de daadwerkelijke veranderingen zullen door het management zelf moeten worden gedaan.
Er zal met de bril van bestuurlijke informatievoorziening naar de processen worden gekeken. Het begrip bestuurlijke informatievoorziening kan worden omschreven als het voorzien in de
informatiebehoefte om processen te beheersen. Teven is informatievoorziening niet los te zien van de ontwikkelingen in de IT. Het zal hierbij met name om het beheersingsaspect gaan.
4
4
Jans, 2000:78)
Analyse huidige situatie IST (2)
Gewenste situatie Soll (3)
Analyse van de verschillen (4)
Aandragen van verbeteringen (5) SAS 70
(1)
Diagnose Ontwerp Verandering
Implementeren van veranderingen Afdeling
O&A
2.4 Deelvragen
Uitgangspunt voor het opstellen van de deelvragen is de probleemstelling, de randvoorwaarden en het conceptueel model. De deelvragen zijn vervolgens opgesplitst naar beschrijvende, analyserende en adviserende deelvragen.
5Beschrijvend
1. Wat wordt onder SAS 70 verstaan?
In deze deelvraag zal de theorie van SAS 70 worden besproken.
2. Wat is de huidige wetgeving in Nederland voor serviceorganisaties?
In deze deelvraag zal naar de Nederlandse wetgeving voor service organisaties gekeken worden. Er zal gekeken worden welke eisen aan de accountant van de user-organisatie worden gesteld welke eisen aan de accountant van de serviceorganisatie worden gesteld.
3. Hoe zijn de interne processen momenteel ingericht?
Als antwoord op deze deelvraag zal een beschrijving van de interne processen worden gegeven. Dit zal gebeuren aan de hand van een aantal referentiemodellen. Er zal hierbij ingegaan worden op de administratieve organisatie, de automatisering en het
controlebewustzijn van de medewerkers.
Analyserend
4. Hoe zou de gewenste situatie eruit moeten zien om te kunnen voldoen aan SAS 70?
De huidige situatie zal wellicht niet voldoen aan de gewenste situatie. Met deze deelvraag zal getracht worden de gewenste situatie te beschrijven. Dit zal gebeuren aan de hand van de theorie van SAS 70 en aan de hand van de gekozen referentiemodellen.
5. Welke verschillen bestaan er tussen de huidige situatie en de gewenste situatie?
Nadat de huidige situatie en de gewenste situatie in kaart zijn gebracht, kan gekeken worden naar de verschillen tussen de huidige situatie en de gewenste situatie. De twee situaties zullen naast elkaar gelegd worden en vervolgens zal gekeken worden waar verschillen zijn. Van deze verschillen zal een analyse van gemaakt worden.
Adviserend
6. Welke verbeteringen kunnen worden aangedragen?
Nadat er een analyse van de verschillen is gemaakt zullen er verbeteringen aangedragen worden die ervoor zorgen dat het interne beheersingsysteem aan de eisen van SAS 70 kan voldoen.
5
Haag en Dirven, 1999:35
2.5 Methoden
2.5.1 Typering van het onderzoek
Er zijn verschillende typen onderzoek die onderscheiden kunnen worden
6• zuiver wetenschappelijk onderzoek;
• maatschappelijk relevant onderzoek;
• beleidsrelevant onderzoek;
• beleidsondersteunend onderzoek;
• probleemoplossend onderzoek.
Het onderzoek wat wordt uitgevoerd is een beleidsondersteunend onderzoek. Dit houdt in dat de uitkomsten ter ondersteuning van het beleid zijn. De uitkomsten kan Achmea gebruiken bij de bepaling van het beleid betreft de interne beheersing en de SAS 70 certificering.
2.5.2 Onderzoeksmethoden
Gegevens voor het onderzoek kunnen op een aantal manieren worden verkregen:
7• gebruik maken van bestaande gegevens;
• verkrijgen van gegevens via observatie;
• verkrijgen van gegevens via schriftelijk of mondeling interview.
In dit onderzoek zal vooral gebruik worden gemaakt van bestaande gegevens en het verkrijgen van gegevens via mondeling interview. Het gebruikmaken van bestaande gegevens houdt in dat documenten van Achmea zelf bestudeerd zullen worden, hier zal vooral gekeken worden naar controleplannen, ao/ic beschrijvingen en specifieke procesbeschrijvingen. Voor meer aanvullende informatie zullen interviews worden afgenomen met betrokken medewerkers en het management. Eventueel kan ook nog gebruik worden gemaakt van observatie door met medewerkers mee te lopen en te observeren welke stappen zij uitvoeren.
6
De Leeuw, 1996:77
7
Baarda en De Goede, 2000:134
Hoofdstuk 3 Theoretisch kader
3.1 Inleiding
In dit hoofdstuk zal de theorie behandeld worden die voor het onderzoek zal worden gebruikt.
De theorie zal gebruikt worden voor het beschrijven van de processen en voor de daaropvolgende analyse.
De volgende theorieën zullen hier worden behandeld:
• DOV-model (de Leeuw)
• Interne controle (lesbrief 23, vakgroep accountancy, Externe verslaggeving)
• De Code voor Informatiebeveiliging ( )
• COSO ( Committee of the Sponsoring Organisation of the Treadway Commission) Internal Control, Integrated Framework, 1992
• Code Tabaksblad
Het DOV model wordt gebruikt als rode draad voor het onderzoek. Het model helpt de verschillende fases in onderzoek te onderscheiden.
De theorie over interne controle geeft aan wat de gevolgen zijn van het type bedrijf waar het onderzoek uitgevoerd wordt, een financiële instelling. Dit heeft tot gevolg dat er voor de interne controle geen gebruik gemaakt kan worden van de verbanden in de waardekringloop. Hieruit komen een aantal aspecten voort waar grote aandacht voor nodig is in het verdere onderzoek.
Daarom is gekozen om de Code voor Informatiebeveiliging en COSO te gebruiken voor de beschrijving van de huidige situatie en de gewenste situatie. In deze twee theorieën komen de genoemde aspecten bij interne controle goed naar voren. De Code voor Informatiebeveiliging voor het aspect aandacht voor betrouwbaarheidaspecten van de IT, voor de andere aspecten voldoet COSO. Er is voor gekozen om alleen deze twee theorieën te gebruiken, andere theorieën zoals COBIT zouden voor overlapping zorgen. COSO en de Code voor Informatiebeveiliging zijn allebei opgebouwd uit een aantal componenten die voor een duidelijk raamwerk in het onderzoek zorgen.
De Code Tabaksblad wordt in dit hoofdstuk tevens besproken. De Code Tabaksblad wordt
gezien als het Nederlandse antwoord op Sarbanes Oxley en zal daarom meegenomen worden in
het onderzoek.
3.2 Het DOV model
Probleemsituatie
Probleem
Oplossing
Verbeterde situatie Figuur 6: het DOV model
De start van een probleemoplossingproces is een signaal. Het diagnoseproces is een
transformatie van dit signaal in een diagnose, een transformatie van een probleemsituatie in een managementprobleem. De term probleem kan hier uiteraard ook slaan op een kans, een
verbeteringsmogelijkheid of iets dergelijks. De eis van pluriformiteit geldt hier, het probleem moet vanuit verschillende invalshoeken worden bekeken. De ontwerpfase omvat het uitwerken van het gediagnosticeerde probleem tot een concrete oplossing. Het is het aanreiken van een instrument om onder wisselende omstandigheden een geschikte stuurmaatregel te vinden. In de veranderingsfase gaat het erom dat de ontworpen oplossing wordt ingevoerd. Dit is een
besturingsprobleem. Het is het transformeren van een ontwerp in een concreet systeem. Change management speelt hierbij een belangrijke rol.
8Het DOV model zal als een rode draad door het onderzoek lopen. De SAS 70 certificering zal hier als het probleem worden gezien. De diagnose fase zal bestaan uit het beschrijven van de huidige situatie. Na de analyse van de verschillen zal er een ontwerp voor verbeteringen gemaakt worden.
Het veranderingstraject zal hier grotendeels buiten beschouwing worden gelaten. Er zullen aanbevelingen aan het management worden gedaan voor de veranderingen, de veranderingen zelf zullen door het management zelf moeten worden doorgevoerd.
3.3 Interne controle
Verzekeringsmaatschappijen worden in de typologie van Starreveld gerekend tot de financiële instellingen. Dit betekent dat met betrekking tot de interne controle op de volledigheid van de opbrengstverantwoording geen gebruik kan worden gemaakt van de verbanden van de
waardekringloop, de urenbeweging en de capaciteit. De controle op de opbrengstverantwoording is geheel gebaseerd op de contractcreatie. Als gevolg van de hoge mate van automatisering bij verzekeringsmaatschappijen berust de interne controle bij veel maatschappijen nagenoeg geheel op de juiste werking van het geautomatiseerde informatiesysteem.
8
de Leeuw, 2000:291
Diagnose
Ontwerpen
Veranderen
Als gevolg hiervan zijn de volgende interne controleaspecten zijn van belang:
• grote aandacht voor betrouwbaarheidsaspecten IT
• een strikte doorvoering van functiescheidingen o een afzonderlijke afdeling interne controle o scheiding tussen de front-office en de back-office
• Het invoeren van limieten
• Gezamenlijke verantwoordelijkheden
Met deze aspecten zal gedurende het gehele onderzoek rekening worden gehouden. Met name de betrouwbaarheid van de IT zal een belangrijke rol spelen. Dit omdat bij Achmea voor alle
processen gebruik wordt gemaakt van geautomatiseerde systemen.
3.4 Code voor informatiebeveiliging
De code voor informatiebeveiliging is een leidraad voor praktische informatiebeveiliging. De code is bedoeld als referentiekader. De code is hierbij een hulpmiddel om het vertrouwen in het handelsverkeer tussen bedrijven te bevorderen. Het doel van informatiebeveiliging is enerzijds het waarborgen van de continuïteit van de bedrijfsprocessen en anderzijds het minimaliseren van schade, die ontstaat uit beveiligingsincidenten. Dit doel kan worden bereikt door het nemen van preventieve, repressieve en correctieve maatregelen. In de code zijn 10 hoofdcategorieën
vastgesteld als belangrijkste aandachtsgebieden voor beveiliging.
1. beveiligingsbeleid
2. organisatie van de beveiliging
3. classificatie en beheer van de bedrijfsmiddelen 4. personeel
5. fysieke beveiliging en omgeving 6. computer- en netwerkbeheer 7. toegangsbeveiliging
8. ontwikkeling en onderhoud van systemen 9. continuïteitsplanning
10. toezicht
Voor het onderzoek zal de code met name gebruikt worden voor het beschrijven van de general IT-controls. Er is voor het gebruik van de code voor informatiebeveiliging gekozen omdat dit een overzichtelijk raamwerk is wat alle punten voor de general IT controls raakt.
3.5 COSO
Coso is een internationaal framework ontwikkeld om een continue controle en risico bewustzijn binnen de organisatie te ontwikkelen. Het rapport van de Committee of the Sponsoring
Organization of the Treadway Commission. Internal Control, Integrated Framework, verscheen in 1992. In het rapport staat interne beheersing centraal. COSO is een internationaal raamwerk dat zowel door de SEC als door het NIVRA aanbevolen wordt om te gebruiken voor de evaluatie van het interne controle systeem. In COSO wordt onder interne beheersing verstaan: een proces, uitgevoerd door de directie van de organisatie, het management of ander personeel, gericht op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van de doelstellingen.
Interne controle moet gezien worden als een doorlopend proces.
De doelen van COSO zijn:
• Efficiency en effectiviteit van bedrijfsprocessen
• Betrouwbaarheid van financiële informatieverzorging
• Naleving van Wet- en regelgeving
• Bewaken van waarden
figuur 7 Original COSO framework (www.sox-online.com) De componenten van COSO uitgelegd:
• Control environment: Met de controle omgeving van een organisatie wordt de opstelling ten opzichte van interne controle bedoeld, de normen en waarden. De controle omgeving beïnvloedt de bereidheid en het bewustzijn van haar leden. Het is de basis voor de andere componenten van het beheerssysteem. Belangrijk hierbij is dat de leiding van de organisatie een voorbeeld stelt ten opzichte van alle
werknemers. De directie heeft hier een zogenaamde voorbeeldfunctie.
• Risico analyse: Dit houdt een inventarisatie van de bedreigingen en de kansen in. Als dit in kaart is gebracht wordt een analyse gemaakt van de mogelijke schade die geleden wordt als de bedreigingen zich voordoen.
• Controle activiteiten: Beheersingsmaatregelen zijn de werkwijzen en procedures die gebruikt worden om risico's te verminderen en om de vastgestelde doelen te bereiken.
Er kan hierbij gedacht worden aan autorisaties, controles en functiescheidingen.
• Informatie en communicatie: Dit betreft informatie en communicatie zowel van boven naar beneden als van beneden naar boven. Informatie voor medewerkers zodat zij hun werk goed uit kunnen voeren. Informatie voor de bestuurders zodat zij
informatie verkrijgen over het verloop van de processen.
Besturingsinformatie Beheersingsinformatie
Figuur 8: het besturingsparadigma van de Leeuw
• Monitoring: Evaluatie op efficiency en kwaliteit van interne processen. Dit betreft een controle op het interne controle systeem. Enerzijds wordt gekeken naar de kwaliteit, anderzijds wordt ook gekeken naar de manier waarop interne controle processen worden uitgevoerd.
Het interne controle systeem, hoe goed ook georganiseerd, kan echter nooit een garantie geven dat alle doelstellingen zullen worden gehaald. Bepaalde ontwikkelingen zullen buiten de
invloedssfeer van de organisatie vallen, oncontroleerbare risico´s. Vandaar dat het interne controlesysteem slechts een redelijke mate van zekerheid kan bieden. Deze oncontroleerbare risico´s moeten duidelijk in kaart worden gebracht.
Voor het onderzoek zal COSO gebruikt worden als raamwerk voor het inzichtelijk maken van de interne controle processen. De verschillende componenten zullen besproken worden voor de afdeling O&A.
3.5 Code Tabaksblad
Een half jaar geleden is de code Tabaksblad gepresenteerd als een belangrijke stap op weg naar het herstel van het vertrouwen van de maatschappij in het bedrijfsleven. De code is het
nederlandse antwoord op de Sarbanes Oxley wetgeving vanuit Amerika. De code bevat onder andere bepalingen over interne beheersing. Doel van deze bepalingen is de kwaliteit te verhogen van het interne risicobeheersings- en controlesysteem.
De code schrijft voor dat het management een bestuursverklaring op het gebied van interne beheersing opneemt in het jaarverslag. Het management moet zowel de opzet als de goede werking van de interne beheersing evalueren en beoordelen. Het inzichtelijk maken van de bedrijfsrisico´s vormt de basis voor een gestructureerd risicomanagementproces. Deze
inventarisatie vormt het startpunt voor de ontwikkeling van aanvullende risicobeperkende acties.
Met betrekking tot de bepalingen over risicomanagement is het belangrijk te weten dat ook na volledige implementatie van de Code ondernemen niet zonder risico´s zal zijn. Ten aanzien van interne beheersing vereist de code verregaande transparantie en correcte bedrijfsvoering. De termen ‘show me’ en ‘prove me’ worden hier geïntroduceerd. ‘Show me’ vereist dat de
bestuursverklaring op het gebied van interne beheersing intern wordt gedocumenteerd. ‘Prove me’ gaat nog een stap verder, omdat dan ook van het management wordt vereist dat de kwaliteit van de interne beheersing wordt getest alvorens daarover naar buiten te treden. De code schrijft verplichte controle door een derde partij slechts voor een zeer beperkt deel voor. Bij het
opstellen van de code is met betrekking tot het onderwerp interne beheersing gebruik gemaakt van de ervaringen uit Amerika. Tevens heeft de commissie Tabaksblad zich laten inspireren door het COSO-raamwerk.
Besturend orgaan
Bestuurd systeem
In Nederland voorziet de code niet in toezicht op naleving van de code, ook niet met betrekking tot de best practice bepalingen op het gebied van interne beheersing. De accountant heeft hier slechts tot taak tot het uitvoeren van een marginale toetsing. De accountant rapporteert volgens de code met betrekking tot de werking van het interne controlesysteem en de kwaliteit van de informatievoorziening:
- verbeterpunten, geconstateerde leemten en kwaliteitsbeoordelingen - opmerkingen over bedreigingen en risico´s
- naleving van interne en externe wet- en regelgeving.
De code Tabaksblad geeft richtlijnen voor interne controle. Bij het onderzoek zullen deze richtlijnen meegenomen worden.
9
9 Renes, 2004
Hoofdstuk 4 Analyse SAS 70
4.1 Inleiding
In dit hoofdstuk zal de theorie van SAS 70 worden besproken. Eerst zal een korte beschrijving van SAS 70 worden gegeven. Vervolgens zal de theorie aan de hand van een aantal aspecten vergeleken worden met andere kwaliteitskeurmerken.
4.2 SAS 70
SAS 70 is een toetsingsmiddel afkomstig uit Amerika en ontwikkelt door het American Institute of Certified Public Accountants(AICPA). SAS 70 staat voor Statement on Auditing Standard number 70, een statement voor de certificering van de interne beheersing van de processen in dienstverlenende organisaties. SAS 70 is een internationaal erkende controlestandaard. Het is procesgericht en onderzoekt of de service organisatie genoeg beheersmaatregelen treft en of deze beheersmaatregelen effectief zijn en worden nageleefd. SAS 70 komt voort uit de Sarbanes Oxley Act. Op grond van de Sarbanes Oxley Act moeten ondernemingen die onder het regime van de SEC vallen, aantonen dat ze over een adequate opzet en werking van de ao/ic beschikken. SAS 70 is een specifieke richtlijn voor service organisaties. Als uitgangspunt voor het gedeelte over interne controle in Sarbanes Oxley is het COSO rapport gebruikt.
SAS 70 bestaat uit een type l en een type ll verklaring:
Inhoud rapport Type l Type ll
1. Accountantsverklaring Verplicht Verplicht
2. De beschrijvingen van de controle maatregelen
Verplicht Verplicht 3. De beschrijvingen van het
testen van de werking van de maatregelen
Optioneel Verplicht
4. Overige informatie over de
service organisatie Optioneel Optioneel
Tabel 1: SAS 70 verklaringen
10Bij de type l verklaring verklaart de externe accountant dat de beheersmaatregelen in opzet toereikend zijn om de geformuleerde beheersdoelstellingen daadwerkelijk te bereiken.
Bij de type ll verklaring verklaart de externe accountant dat de maatregelen niet alleen op zekere datum van kracht waren, maar ook feitelijk gedurende de controleperiode van minimaal een half jaar hebben gewerkt.
Samenvattend kan gezegd worden dat een type l verklaring de opzet en het bestaan van interne controle maatregelen beoordeelt. Type ll kijkt naar opzet en bestaan én naar de werking van de interne controle maatregelen. Hier wordt dus echt getest of alle aanwezige maatregelen ook effectief zijn. Dit wordt gedurende minimaal 6 maanden gedaan.
In tegenstelling tot de jaarrekeningcontrole is de reikwijdte van SAS 70 niet beperkt tot de posten voor de jaarrekeningcontrole. SAS 70 heeft ook betrekking op andere kwaliteitsaspecten en andere objecten van interne beheersing, zoals IT-aspecten. Deze aspecten krijgen bij een
algemene controle geen of weinig aandacht. Een ander verschil met de jaarrekeningcontrole is het testen gedurende zes maanden bij de type ll verklaring. De verklaring heeft net als de
jaarrekeningcontrole betrekking op het gehele jaar.
10 www.SAS70.com
Bij de jaarrekeningcontrole kijkt de accountant wel naar de IC aspecten. Dit is echter slechts een momentopname en geen daadwerkelijke toetsing van de werking zoals bij SAS 70. De Code Tabaksblad geeft wel aan dat de accountant de werking van de interne controle moet toetsen, er wordt alleen niet aangegeven dat dit gedurende zes maanden moet gebeuren. Hier wordt in het volgende hoofdstuk verder op in gegaan.
De PVK, nu opererend als onderdeel van DNB, stelt dat de beheersorganisatie zoveel mogelijk transparant moet zijn, besturen van pensioenfondsen moeten ten allen tijde inzicht hebben in de wijze van uitvoering en de daarbij
getroffen beheersingsmaatregelen. Hier sluit SAS 70 goed bij aan. Tevens kunnen de
toezichthouders goed gebruik maken van de uitkomsten van de SAS 70 audit, zodat ze zelf niet nog een aparte audit uit hoeven te voeren.
Vanuit de Sarbanes Oxley act vloeit voort dat Amerikaanse beursgenoteerde service organisaties of service organisaties die zaken doen met beursgenoteerde bedrijven uit Amerika een SAS 70 verklaring moeten hebben. Hier krijgt Achmea Pensioenen mee te maken, bedrijven die hun pensioenbeheer uitbesteden aan Achmea zullen van Achmea een SAS 70 verklaring eisen. Tevens kan er in contracten worden opgenomen dat het behoud van de SAS 70 verklaring een vereiste is voor de continuïteit van het contract met Achmea.
4.2.1 Voor- en nadelen SAS 70
SAS 70 biedt voordelen voor de klanten en toezichthouders maar ook voordelen voor Achmea zelf.
Voordelen service organisatie:
• SAS 70 creëert bewustzijn binnen de organisatie om een goede beheersing/controle te realiseren
• SAS 70 demonstreert de mate van in control zijn van de service organisatie Achmea richting klanten en toezichthouders.
• Toezichthouders kunnen gebruik maken van de SAS 70 audit en kunnen sneller een beeld vormen van de interne organisatie van bedrijven.
• SAS 70 draagt bij aan positieve beeldvorming van de klant.
• SAS 70 geeft een kader voor kwaliteitsverbeteringen en beheersingsprojecten binnen de organisatie.
• Een SAS 70 verklaring is noodzakelijk om zaken te kunnen blijven doen met beursgenoteerde Amerikaanse bedrijven
Voordelen user-organisatie:
• SAS 70 geeft een redelijke mate van zekerheid aan klanten dat beheersingsmaatregelen in opzet en bestaan aanwezig zijn en gedurende een periode van zes maanden effectief gewerkt heeft. De SAS 70 verklaring heeft betrekking op het gehele jaar.
• Onderzoek naar de serviceorganisatie is niet langer nodig zoals aangegeven in de beleidsregels van de PVK.
• Onderzoek door de accountant van de user-organisatie is niet langer nodig, het opvragen van de SAS 70 verklaring is voldoende.
Naast deze voordelen kleven er ook een aantal nadelen aan SAS 70. De organisatie zal haar
interne processen door moeten lichten wat de nodige kosten met zich mee zal brengen. Alle
processen moeten duidelijk beschreven worden wat veel tijd kost.
Als eenmaal de type l verklaring aanwezig is, zal bij type ll de werking van de interne controlemaatregelen getoetst worden. Het gaat er dan om of alles wat beschreven is in procesbeschrijvingen ook daadwerkelijk zo werkt. Daarvoor is een groot commitment van de medewerkers nodig. Het zal van de medewerkers afhangen of de ingestelde maatregelen ook daadwerkelijk worden uitgevoerd. Er is dus de mogelijkheid dat er een verandering van cultuur nodig is. SAS 70 gaat verder dan alleen het beschrijven van de interne controle maatregelen en het toetsen van de werking. De medewerkers zullen zich erg bewust moeten zijn van het belang van de controle maatregelen.
Tevens is het van belang dat het duidelijk blijft waarom een bedrijf bestaat: zaken doen en handel drijven. De core business moet niet uit het oog worden verloren. Het bezig zijn met
controlemaatregelen moet niet de overhand krijgen boven het zaken doen met klanten. Daarom is het van belang dat controlebewustzijn aanwezig is en dat het op een hoog peil moet zijn. Er moet een goede balans ontstaan tussen enerzijds het naleven van de regels en anderzijds het werken zelf. Changemanagement zal hier dan ook een belangrijke rol spelen bij de verkrijging van de SAS 70 certificering.
4.4 Verschillende regelgevers
Er bestaat momenteel veel regelgeving voor wat betreft de interne controle. Door een aantal gebeurtenissen is de aandacht voor interne beheersing enorm toegenomen. Klanten willen steeds meer zekerheid over organisaties waar zij zaken mee doen. Als antwoord daarop zijn vele
richtlijnen opgesteld. In Amerika is de Sarbanes Oxley Act ingesteld wat vergaande consequenties heeft voor Amerikaanse beursgenoteerde bedrijven. Dit heeft ook zijn uitwerking
op de rest van de wereld. In Nederland is de code Tabaksblad ontwikkeld wat ook richtlijnen voor interne beheersing en corporate governance geeft. Dit is minder vergaand dan Sarbanes Oxley maar geeft wel duidelijke signalen af.
Tevens is in Nederland steeds meer sprake van vergaand toezicht door verschillende
toezichthouders DNB, AFM. Er zijn dus veel verschillende regelgevers die allemaal naast elkaar opereren. Organisaties moeten voldoen aan de eisen van veel verschillende instanties.
Naast SAS 70 staat ook de invoering van de Wet Financiële Dienstverlening voor de deur. Het is de verwachting dat deze wet in oktober 2005 wordt ingevoerd. De WFD stelt eisen aan financiële dienstverleners op het gebeid van financiële zekerheid, transparantie en zorgplicht. Met deze wet is financiële dienstverlening in beginsel alleen toegestaan met een vergunning van de Autoriteit Financiële Markten. De AFM zal naast het verlenen van de vergunningen ook het toezicht op de wet gaan uitoefenen. Vooruitlopend op deze nieuwe wet is een projectteam bij Achmea ingesteld om aan de hand van de gestelde normen te kijken wat er allemaal moet gebeuren om aan de Wet Financiële Dienstverlening te voldoen.
Het is nu zaak dat Achmea de eisen en richtlijnen van de verschillende toezichthouders in kaart brengt en dat niet voor alle richtlijnen apart een rapport geschreven wordt. Er moet getracht worden aan alle eisen te voldoen met behulp van een goed interne controlesysteem.
4.5 Mate van acceptatie van SAS 70 in Europa
SAS 70 is afkomstig uit Amerika. Het is in Amerika ontwikkeld naar aanleiding van een aantal grote schandalen. Van oorsprong zijn de accountingstandaarden in Amerika rules-based. Dit houdt in dat de standaarden specifiek en gedetailleerd zijn beschreven. Door de verschillende schandalen zijn de accountingstandaarden nog gedetailleerder en specifieker geworden. De
accountant heeft weinig keuzevrijheid. In Europa zijn de accountingstandaarden principles-based.
Dit biedt de accountant meer vrijheid, simpel gesteld houdt de principles-based benadering in dat er een kader wordt gesteld met een hoofdregel en dat in richtlijnen verdere regels worden
uitgewerkt. Er is dus een verschil tussen de regelgeving in Amerika en in Europa.
Het is voor de acceptatie van SAS 70 nu de vraag in welke mate in Europa de rules-based
standaarden uit Amerika accepteert. Er zal een omslag moeten worden gemaakt van veel
vrijheden naar gedetailleerde controle. Voor zowel de accountants als de organisaties in Europa
zal dit een verandering zijn. Een SAS 70 verklaring heeft alleen betekenis als de controlerende
accountant ook volgens de rules-based standaarden controleert. De vraag moet nu gesteld
worden of door het verschil in ´cultuur´ SAS 70 wel goed toegepast kan worden in Europa. Het
is dus niet zo dat SAS 70 per definitie de juiste kwaliteitsstandaard is en de hoogste zekerheid
geeft over de interne processen.
Hoofdstuk 5 Richtlijnen in Nederland
5.1 Inleiding
In dit hoofdstuk zal gekeken worden naar de huidige regelgeving voor de controlerend accountant van user-organisaties in Nederland. Onder user-organisaties worden organisaties verstaan die processen uitbesteden aan service organisaties. Het gaat hier om de controle van de processen die uitbesteed worden aan een service organisatie.
5.2 RAC 402
De toename van het aantal uitbestedingen heeft tot een aantal consequenties voor de accountant geleid. Voor de accountant van een user organisatie is de interne beheersing op de uitbestede processen van belang. De vraag is in welke mate de accountant van een user organisatie kan steunen op de interne beheersing van een service organisatie. In Nederland is een richtlijn opgesteld voor organisaties die gebruik maken van diensten van service organisaties. Dit betreft Richtlijn 402 van de Richtlijnen voor de accountantscontrole: Overwegingen bij controles van huishoudingen die gebruik maken van serviceorganisaties. Het doel van deze richtlijn is
grondslagen vast te stellen en aanwijzingen te geven aan de accountant van de user-organisatie.
Voor de controle dient de accountant eerst vast te stellen welke invloed het gebruik maken van de serviceorganisatie heeft. Bepaalde voorschriften, procedures en vastleggingen bij de service organisatie kunnen van belang zijn. Deze voorschriften en procedures kunnen van invloed zijn op de administratieve organisatie en de interne beheersing van de user organisatie. De accountant dient de betekenis van de activiteiten van de serviceorganisatie voor de user organisatie vast te stellen en de invloed van deze activiteiten op de controle. Hierbij zijn een aantal factoren apart benoemd:
•
De aard van de diensten die door de serviceorganisatie worden verricht.
•
De contractvoorwaarden en de relatie tussen de service- en de userorganisatie.
•
De van materieel belang zijnde beweringen in de jaarrekening die worden beïnvloed door de werkzaamheden van de serviceorganisatie.
•
Het inherent risico dat aan dergelijke beweringen verbonden is.
•
De mate waarin de administratieve organisatie en interne beheersing aansluiten op de administratieve organisatie en interne beheersing van de service organisatie.
•
De kwaliteit en de financiële positie van de service organisatie.
•
Informatie over de organisatie van de serviceorganisatie zoals die in gebruikers- en technische handboeken zijn weergegeven.
•
Beschikbare informatie betreffende de algemene en systeembeheersingsmaatregelen die voor de toepassingen van de userorganisatie relevant zijn.
•
De controleerbaarheid van de door de serviceorganisatie uitgevoerde werkzaamheden.
Aan de hand van deze factoren bepaalt de accountant van de userorganisatie of de inschatting
van het interne beheersingsrisico wordt beïnvloed door de interne beheersingsmaatregelen van de
serviceorganisatie. Indien de accountant tot de conclusie komt dat de uitbestede activiteiten wel
van invloed zijn, dient de accountant voldoende inzicht in de administratieve organisatie en de
interne beheersing van de serviceorganisatie te verkrijgen. Hierbij kan gebruik worden gemaakt
van de accountant van de serviceorganisatie. De accountant van de user-organisatie dient wel te
informeren naar de vakbekwaamheid van de accountant van de serviceorganisatie. Tevens kan de
accountant gebruik maken van systeemgerichte controles om controle informatie te verkrijgen.
Als de accountant gebruik wil maken van de rapporten van de accountant van de
serviceorganisatie, dient de accountant de inhoud en de aard van het rapport te beoordelen. Er zijn over het algemeen twee rapporten die kunnen verschijnen:
• Rapport op het gebied van de toereikendheid van de opzet van o Een beschrijving van de ao/ic
o Een mededeling van de accountant dat de beschrijving juist is, de
controlemaatregelen operationeel zijn en de opzet toereikend is om genoemde doelstellingen te bereiken.
• Rapport op het gebied van de toereikendheid van de opzet en de effectiviteit van de werking van
o Een beschrijving van de ao/ic
o Een mededeling van de accountant dat de beschrijving juist is, de
controlemaatregelen operationeel zijn en de opzet toereikend is om genoemde doelstellingen te bereiken.
o Door het uitvoeren van systeemgerichte controles vaststellen dat de ao/ic op een effectieve wijze werkt. De accountant van de serviceorganisatie verstrekt een specificatie van de uitgevoerde controles.
De accountant van de user-organisatie dient het rapport te beoordelen op reikwijdte,
bruikbaarheid en toereikendheid. Wat tevens nog belangrijk te vermelden is, is het feit dat als de accountant van de user organisatie gebruik maakt van een rapport van de serviceorganisatie, dat hij hiervan geen melding in zijn verklaring dient te maken. De accountant van de user-organisatie is geheel verantwoordelijk voor de controle van de userorganisatie.
115.3 SAS 70 en RAC 402
RAC 402 geeft voor de accountant informatie over het controleren van uitbestede processen.
Voor SAS 70 is het voor de serviceorganisatie belangrijk om te weten welke eisen de accountant van de user-organisatie aan het rapport stelt. In deze richtlijn worden de eisen gesteld waaraan de accountant moet voldoen. Dit kan als input fungeren voor SAS 70.
SAS 70 is gemaakt om een handvat te geven voor de accountantscontrole van de accountants van de serviceorganisatie en voor het gebruik maken van mededelingen van accountants van
serviceorganisaties door de user-organisatie. SAS 70 lijkt in grote mate op RAC 402. Naast het gebruik van de RAC 402 zal SAS 70 nu ook worden gebruikt door de accountants. De
werkzaamheden voor SAS 70 geven een goede invulling aan de eisen die door RAC 402 worden gesteld. SAS 70 zal steeds meer worden toegepast vanwege het internationale karakter van deze standaard.
125.4 Automatisering
Automatisering speelt een steeds grotere rol voor accountants. Zowel bij de organisaties waar accountants moeten controleren als bij de werkzaamheden van de accountant zelf.
Informatietechnologie en informatiebeveiliging zijn steeds meer besproken begrippen. Daarom worden RAC 400 en 401 ook nog kort besproken.
Volgens RAC 400 dient de accountant voldoende inzicht te krijgen in de administratieve organisatie en de interne controle van een organisatie, vandaag de dag zijn deze twee zeer sterk verbonden met geautomatiseerde systemen. Vaak zijn controles ingebouwd in de IT.
11 Richtlijn voor de Accountantscontrole 402
12 Hibma en Swagerman, 2005
De accountant moet dus wel aandacht besteden aan de informatiebeveiliging omdat hij anders geen goed beeld van de administratieve organisatie en de interne controle kan krijgen.
13Als aanvullende richtlijn op RAC 400 is RAC 401 opgenomen.
RAC 401 geldt voor situaties waarbij de controle wordt uitgevoerd in een omgeving waarin gebruik wordt gemaakt van geautomatiseerde informatiesystemen. Tegenwoordig is hier eigenlijk altijd sprake van en deze twee richtlijnen kunnen dan ook als één richtlijn worden gelezen.
Voor het onderzoek geldt dat naar de geautomatiseerde systemen moet worden gekeken, dat zal een grote rol spelen aangezien eigenlijk alle processen geautomatiseerd zijn of worden beïnvloed door informatietechnologie. Er zal dus rekening worden gehouden met de Richtlijnen van de accountantscontrole.
13 Roos Lindgreen, 2002
Hoofdstuk 6 Procesbeschrijvingen
6.1 Inleiding
In dit hoofdstuk zullen de processen die plaatsvinden op de afdeling O&A beschreven worden.
Eerst zal een beschrijving van de werkwijze worden gegeven. Daarna zal het
verantwoordelijkheidsgebied van de afdeling O&A beschreven worden. Vervolgens zal de daadwerkelijke beschrijving van de processen worden gegeven. Bij de beschrijving van de IT controls zijn de afdeling Functioneel Beheer, Active en de Security Officer betrokken.
Functioneel Beheer beheert de administratieve applicaties. Active levert de IT diensten aan O&A.
De Security Officer is verantwoordelijk voor het structureren en realiseren van een adequaat informatiebeveiligingsbeleid.
6.2 Werkwijze
Met behulp van het COSO model zal een beschrijving van de interne processen op de afdeling O&A worden gegeven. Aan de hand van de verschillende componenten zullen de processen worden beschreven.
Wanneer de processen beschreven zijn aan de hand van de bouwstenen van COSO, zullen de processen in Proces Stap Overzichten (PSO´s) worden gezet. Achmea heeft samen met haar externe accountant KPMG gekozen om voor de verkrijging van de SAS 70 certificering de processen in PSO´s te zetten. Het doel van het maken van PSO´s is het op één a4 zichtbaar maken welke afdelingen en welke medewerkers bij het proces betrokken zijn. De
overdrachtsmomenten worden duidelijk gemaakt. Tevens wordt meteen zichtbaar op welke momenten de processen afhankelijk zijn van derden. Zo komt naar voren wat wel en wat niet beïnvloedbaar is bij de processen. Belangrijk hierbij is het goed vaststellen van begin en eindpunt van het proces en wie de eindverantwoordelijke van het proces is.
Er wordt een schema opgesteld met daarin:
• Processtappen
• Soort medewerkers
• Betrokken afdelingen In de toelichting staat:
• Beschrijving processtap
• Systeemactiviteiten
De PSO´s van de afdeling O&A zullen als bijlagen aan het onderzoek toegevoegd worden.
Voor het beschrijven van de IT processen zal gebruik worden gemaakt van de code voor
informatiebeveiliging. Er is voor de code gekozen omdat de code een duidelijk referentiekader is.
De code gaat in op de verschillende aspecten van beveiliging voor geautomatiseerde
informatiesystemen, vooral voor de beschrijving van de general IT controls, zoals fysieke en logische toegangsbeveiliging, is de code geschikt.
6.3 Beschrijven van het verantwoordelijkheidsgebied
Om aan te geven waar de verantwoordelijkheid van de afdeling O&A ligt, zal gebruik worden
gemaakt van de theorie over verantwoordelijkheidscentra.
Verantwoordelijkheidscentra zijn gebieden die aangeven waarover de manager verantwoordelijkheid draagt. Er wordt een onderscheid gemaakt naar de volgende verantwoordelijkheidscentra:
• Cost centers: dit zijn verantwoordelijkheidscentra waarbij het management de controle heeft over de kosten maar niet over de opbrengsten. De afdeling wordt geëvalueerd door middel van een vergelijking van de werkelijke kosten met de standaard kosten.
• Revenue centers: dit zijn verantwoordelijkheidscentra waarbij het management de controle heeft over de opbrengsten maar niet over de kosten.
• Profit centers: dit zijn verantwoordelijkheidscentra waarbij het management de controle heeft over de kosten en de opbrengsten. De afdeling kan gezien worden als een aparte business unit
• Investment centers: dit zijn verantwoordelijkheidscentra waarbij het management de controle heeft over de kosten, de opbrengsten en investeringen. Het management wordt afgerekend op de hoogte van de winst gerelateerd aan het geïnvesteerde vermogen. Ook hierbij kan de afdeling als aparte business unit worden gezien.
146.4 Beschrijven van processen
Voor de afdeling O&A wordt een beschrijving van de processen gemaakt. Hiervoor wordt gebruik gemaakt van de bouwstenen van COSO:
• Beheersingsomgeving
• Risicoanalyse
• Controle maatregelen
• Informatie en communicatie
• Monitoring
In verband met de vertrouwelijkheid van de informatie is de inhoudelijke uitwerking van de beschrijving van de processen weggelaten.
6.5 Beschrijven general IT controls
De general IT controls zullen worden beschreven aan de hand van de componenten van de code voor informatiebeveiliging:
1. beveiligingsbeleid
2. organisatie van de beveiliging
3. classificatie en beheer van de bedrijfsmiddelen 4. personeel
5. fysieke beveiliging en omgeving 6. computer- en netwerkbeheer 7. toegangsbeveiliging
8. ontwikkeling en onderhoud van systemen 9. continuïteitsplanning
10. toezicht
Alle aspecten zullen worden toegepast op de afdeling O&A. Een aantal aspecten komen uit het informatiebeveiligingsplan en heeft toepassing op alle ABU´s van AP.
14
